PROTECCIÓN
CONTRA LOS DELITOS INFORMÁTICOS EN CUBA.
Lic. Siura L. Arregoitia López
Facultad de Derecho. Universidad de La Habana
En la especialidad de penal existen protecciones privativas y
no privativas, aquellas que llevan implícito o no el derecho
de última ratio, donde nos encontramos ante la posibilidad
de ser sometidos a una sanción de privación de libertad.
Dentro de las no privativas se encuentran: la protección
penal que trata de aplicar a la materia las normas sobre violación
de secreto de empresas, secreto profesional y corrupción
administrativa; y la protección civil que se puede dar
en el marco de un contrato o en el plano extracontractual que
incluye responsabilidad civil, la concurrencia desleal y el enriquecimiento
sin causa. La privativa se da mediante un mecanismo sui - géneris
de protección, como lo es el derecho de propiedad intelectual
ya sea por vía de derecho de autor o por la vía
de propiedad industrial.
En Cuba se dió el primer paso en este sentido, con la
promulgación de textos legales, aunque no precisamente
penales. Entre ellos aparece el Reglamento de Seguridad Informática
emitido por el Ministerio del Interior, que entró en vigor
desde Noviembre de 1996, el cual estipula que en todos los Órganos
y Organismos de la Administración Central del Estado se
deberán analizar, confeccionar y aplicar el "Plan
de Seguridad Informática y de Contingencia"; y el
Reglamento sobre la protección y seguridad técnica
de los sistemas informáticos, emitido por el Ministerio
de la Industria Sideromecánica y la Electrónica,
también en vigor desde Noviembre de 1996. Ejemplo propio
de los reglamentos internos tomamos por referencia a los que rigen
a todas las sucursales de Copextel S.A.
La función primaria, indispensable en toda entidad radica
en la necesaria existencia de un conjunto de aspectos a observar
y a cumplimentar que garanticen un adecuado control interno; la
actividad informática al igual que cualquier otra función
de la entidad, está sometida al control interno correspondiente,
de ahí que sea susceptible de ser auditada, o sea a ser
sometida a un control objetivo.
En el primer caso el control interno se materializa mediante
su adecuada aplicación como parte de la organización,
utilizando la computadora como herramienta que participa y la
vez auxilia a la entidad en el logro de los objetivos de control
interno, lo cual se puede hacer por medio de paquetes. En el segundo
caso se puede llevar por el control intrínseco de la informática.
Así se logra la protección del activo de la entidad
y el logro de las mejoras de las operaciones de organización
y ejecución del tipo informáticas, cumpliéndose
con ello las políticas establecidas por la administración,
y todo ello se considera Control Interno Informático.
Los riesgos que se pueden devengar de la insuficiencia de los
controles están estrechamente relacionados con la mayor
exposición de información sensitiva, nuevas tecnologías
sin controles apropiados, autorizaciones electrónicas,
concentración de funciones, integridad de datos, escasez
de herramientas de auditorias y con la conocida Seguridad Informática.
Esta seguridad aunque es responsabilidad de todas las personas
capaces de afectar la seguridad de datos y de los sistemas computarizados,
existen funciones muy específicas que se encuentran directamente
involucradas con esta parte, ellas son: la gerencia, el responsable
del plan de seguridad, los responsables funcionales y autores
de las aplicaciones, los administradores de los sistemas y en
última instancia los usuarios de los sistemas. Además
ha de tenerse en cuenta la manutención adecuada de costo-beneficio.
Toda entidad que emplea sistemas informáticos para el
control de su gestión implementa un plan de seguridad informática
y un plan de contingencia que garantiza la adecuada función
de estos tanto desde el punto de vista físico como lógico.
Estos programas permiten asegurar la existencia de una seguridad
apropiada, así como un costo efectivo para cada sistema
de aplicación que se encuentre en explotación. Este
programa incluye los controles a implementar, la adquisición
e instalación de tecnología de apoyo a las medidas
de seguridad, la administración de la seguridad informática,
la evaluación de las vulnerabilidades y debilidades de
los sistemas y las soluciones a los problemas de seguridad.
Actualmente la auditoria informática definida sencillamente
como el conjunto de técnicas y procedimientos destinados
a la evaluación y control de los Sistemas Informáticos
entendidos estos en su amplia acepción ; es la encargada
del cumplimiento de los controles internos de las entidades que
utilicen en nuestro país sistemas de este tipo; despliega
por esto la función de revisión en un ciclo: administración
de la seguridad de la red, seguridad de las comunicaciones, seguridad
de las aplicaciones y seguridad física.
Técnicamente este sistema de protección tecnológica
debe estar aparejado al establecimiento de las normas penales
pertinentes que se ajusten al nuevo problema en nuestro caso particular
como nación, donde ya se han registrado casos delictivos
de esta índole. La ley penal como última ratio podrá
dar frente a las situaciones que se ventilen ante el incumplimiento
de los reglamentos internos de las entidades, sancionando las
acciones negativas que se produzcan.
Podemos apreciar que la legislación informática
hace referencia a los rasgos característicos de este programa
de seguridad informática, tales como: integrabilidad, confidencialidad
y disponibilidad de la información. La Seguridad Informática
además de ser el bien jurídico tutelado, puede conceptual
izarse como la operación de los sistemas de información,
rigiéndose por las características que las distingue
anteriormente mencionadas, tenemos que la información debe
ser fidedigna y completa, nadie que no sea el usuario tiene derecho
a cambiarla; que el usuario debe tener la información en
el momento que la necesite; y sin su consentimiento nadie debe
tener acceso y menos a divulgarla. A estas características
principales por las que se distingue, le acompañan otras
dos: la consistencia, mediante la cual el sistema debe comportarse
siempre igual aun después de un cambio; la de control de
usuario teniéndose aquí el control sobre quién
entra al sistema y qué hace. Por otro lado, constituye
el núcleo del control interno, y su principal objetivo
es documentar las directivas o decisiones generales referentes
a la seguridad de los sistemas, estableciendo las metas a alcanzar
y asignando las responsabilidades.
Actualmente dicha seguridad es atacada por :
-Uso de passwords capturados
-Uso de vulnerabilidades conocidas
-Uso de brechas en protocolos
-Examen de fuentes para descubrir nuevas brechas
-Empleo de ataque ICMP
-Abuso del FTP( File Transfer Protocol) anónimo
-Empleo de programas " Sniffers "
-Spoofing de dirección IP fuente
Tomando en cuenta las amenazas debe hacerse un cálculo
de costo de la concurrencia de cada una de ellas por un lado (teniendo
en cuenta sus posibilidades de concurrencia) y el costo de las
medidas para protegerse contra ellas por el otro.
Hay que tener presente, sin embargo, que no se hayan considerado
todas las amenazas posibles a nuestra seguridad. Los riesgos pueden
minimizarse pero siguen existiendo potencialmente. Para ello se
a creado una Política de Seguridad que consiste en establecer
medidas de protección en nuestras instituciones con una
adecuada relación costo - beneficio; Mantener una política
de monitoreo y control constante y perfeccionando el sistema en
cuanto se descubra una debilidad. Esta política la hace
un conjunto de técnicos y jefes; y los elaborados deben
tener autoridad para ponerla en práctica. Están
implicados en la ejecución de esta política en principio
todos los usuarios (responsables de administrar su password personal)
y los administradores de sistemas.
Los valores que se protegen son :
Hardware - tarjetas, teclados, terminales, impresoras, servidores
de terminales.
Software - programas fuente, utilitarios, programas de diagnóstico,
sistemas operativos, programas de comunicación.
Datos - durante la ejecución, almacenados, resultados de
auditoría, bases de datos, en tránsito sobre medios
de comunicación.
Personas - usuarios, empleados que operan en los sistemas
Documentación - manuales de programas, hardware, sistemas,
procedimientos locales de administración, reglamento
Útiles - papel, cintas, medios magnéticos de almacenamiento.
Se han considerado e identificado como posibles amenazas:
-Accesos no autorizados - el más común de los riesgos,
la utilización de la cuenta de otro usuario para acceder
a recursos no autorizados. Tomando como cuenta de usuario a la
identificación de una persona en el sistema digitalizado,
donde se asientan las partidas del deber y el haber de las personas,
y que a su vez constituye el registro regular de transacciones
pecuniarias de esos haberes y de los créditos.
-Fuga de información - en todo sitio existe información
sensible que debe ser protegida. Ejemplo fichero password de cualquiera
de nuestros servidores (equipo suministrador de información
a la red. Unidad central de procesamiento donde se almacena gran
cantidad de programas durante las 24h del día para después
distribuirla a través de la red de computadoras a la que
sirve) .
-Negociación de servicio a los usuarios - el usuario no
puede recibir un servicio.
Existen varios mecanismos para garantizar la seguridad contra
algunas de las amenazas tenidas en cuenta a la hora de elaborar
la política de seguridad y que persigue algunos de los
objetivos de la misma. Aunque no es menos cierto que no existe
una solución que satisfaga todos los objetivos ni nos proteja
de todas las amenazas. Solo la combinación de varios mecanismos
puede lograr un alto nivel de efectividad aunque nunca llega a
ser perfecto. Estos mecanismos nunca deben faltar dentro de una
buena política de seguridad que llevará a cabo la
entidad.
Entre estos mecanismos se puede encontrar como principal el monitoreo.
Aquí se realiza un examen de los "ficheros log "
que producen y guardan la mayoría de los sistemas de manera
regular, es esta la primera línea de defensa. Por otro
lado está la utilización de herramientas de los
sistemas operativos para constituir herramientas propias tales
como: elecklists de usuarios, permisos, propiedades de files.
Además se deben efectuar constantes variaciones en el calendario
y el cronograma del monitoreo, ya que cuando la administración
del sistema ejecuta diferentes acciones de monitoreo en diversos
momentos del día hace más difícil para los
intrusos predecir las acciones de la administración y mantenerse
encubiertos. Hay que reconocer que monitorear no es suficiente
para garantizar que su sistema sea seguro ya que se puede monitorizar
todo el tráfico que se mueve a través del conmutador.
Por el medio utilizado para la difusión de este delito
donde Internet es el instrumento de difusión, tan difícil
es detectar el delito como probarlo. El elemento probatorio como
en todos los delitos que se cometen es la base de su juzgar y
por ende de su sanción. Esta búsqueda se torna mucho
más compleja por el medio que se utiliza para ello y por
las características del mismo; ya que no existe forma de
determinar fehacientemente cuál era el estado anterior
de los datos, puesto que la información en estado digital
es adulterable, y la simple auditoría contable o financiera
común pierde su eficacia ante este nuevo tipo de figura
delictiva. Inclusive a manera de referencia, la sanción
puede llegar hasta ser compleja su determinación, partiendo
de que por ejemplo en el caso de la responsabilidad civil sería
difícil determinar el valor que dicha información
tenía, debido a que el valor de la misma es subjetiva,
dependiendo por ello de cada uno a quién le pertenezca
y del contexto de la misma. La complejidad de su determinación
se incrementa si tenemos en cuenta que los medios empleados son
sólo conocidos por especialistas, que el autor de la conducta
antijurídica tiene, la facilidad del autor de borrar las
huellas o rastros de identificación, así como que
dicho sujeto tiene a su favor el tiempo que puede mediar entre
la acción y el efecto.
La situación se facilitaría algo más si
las entidades y organizaciones víctimas los denunciaran,
pero sucede que no lo hacen por considerar que tales hechos pueden
poner en tela de juicio, en ocasiones, la fiabilidad de los sistemas
informáticos. El reparo de las víctimas según
una encuesta realizada en los Estados Unidos por la American Bar
Association en la década del 80 en denunciar los delitos
sufridos no es en realidad un hecho irracional: es decir que existen
uno o varios motivos que determinan la reacción de las
personas afectadas. Los especialistas norteamericanos han individualizado
una serie de factores que podrían influir en el comportamiento
de las víctimas, específicamente en las personas
jurídicas, estas son:
-El temor de que se pierda la confianza o la estima por la organización
y que las pérdidas económicas que ello acarrearía
sean probablemente superiores a las derivadas del delito sufrido.
-El temor de las pesquisas de la policía, sobre todo si
son profundas, puedan evidenciar, de un modo o de otro, manejos
turbios de la dirección de la entidad.
-Los inconvenientes relacionados con el desarrollo del proceso,
como por ejemplo: el tiempo resultante de la necesidad de proporcionar
a la policía y luego a las autoridades judiciales el material
probatorio y asistirles en la realización de experimentos
de instrucción.
-La dificultad en probar en forma adecuada los hechos y el temor
a verse inculpados por una denuncia falsa.
-El temor de la dirección a que las pesquisas hagan públicas
las estrategias de comercialización de la organización
y los secretos comerciales y científicos.
-La preocupación de que la descripción detallada
del hecho y las revelaciones relativas a la vulnerabilidad del
sistema puedan incitar ulteriores ataques.
(...)
Estas motivaciones están presentes en la casi totalidad
de los países desarrollados donde el delito informático
alcanza elevados índices, no siempre registrados.
En la actualidad nuestro ordenamiento penal deja desprotegido
aparentemente a la víctima de los ataques de delincuentes
informáticos por no recoger en su articulado normas especificas
que tipifiquen cada una de los casos que pudieran darse. Nuestros
tribunales por su parte con todas las intenciones de impartir
justicia tiene en cuenta estas actividades delictivas atendiendo
a la acción del comisor y los resultados que esta provoca,
asemejándola a aquella que está recogida en el Código
Penal. Siendo así entendida una violación del correo
electrónico que ataca la intimidad del usuario como una
mera violación de la correspondencia pues el bien jurídico
que se daña será en ambos casos la información.
En este supuesto la acción del comisor será apropiarse
o tener conocimiento del contenido del texto que por cualquiera
de ambas vías se envía, sin el autorizo previo de
su destinatario, y mucho menos sin una autorización legal
que fundamente estos actos en el caso de que el transgresor de
esta norma fuera una persona jurídica que actúe
mediante acuerdo de los socios o en representación de la
misma en buscas de pruebas que demuestren que el destinatario
utiliza la red para cometer posteriores delitos que atacan la
propiedad de dicha entidad.
Bibliografía:
- Zavaro Babari, León y Maitines García, Cerafino:
Auditoria Informática. Consultoría Jurídica
Internacional. Cuba
- Balluja García, Walter Ing. :Fire Walls. Grupo de Redes.
ISPAJE, La Habana, Cuba 1998.
- Álvarez Calderón. Presidente del Proyecto Cibertribunal
Peruano. Instituto Peruano de Comercio Electrónico. El
Cibertribunal Peruano. http://vlex.com/pe/canales/derecho%20inform%E1tico/
